《中华人民共和国数据安全法》2021年9月1日起施行,《中华人民共和国个人信息保护法》2021年8月20日通过,2021年11月1日起实施。这使得企业转型中的数据安全和合规备受关注,网络安全立法和执法从监管强度、违法成本与合规能力多方面对企业带来挑战。
安永发布的《2021安永全球信息安全调查报告(GISS)》显示,新冠疫情催化了云计算等技术的应用以及办公场景的变革,企业因此需要应对更加复杂多样的网络安全风险,然而超过四分之三的中国受访企业不确定其网络安全防御体系是否足以应对黑客攻击。
安永大中华区网络安全与隐私保护咨询服务合伙人兰瑜指出:“为了业务转型和创新发展,许多企业正在计划新一轮科技投资。如果网络安全被排除在投资讨论之外,那么未来几年网络威胁将持续增长。企业应考虑将网络安全成本分摊至整个企业,使网络安全成为一种推动力量,为企业转型升级保驾护航。”
本次对全球逾千位首席信息安全官和其他高管进行了调研访谈。结果表明,企业首席信息安全官正面临着诸如缺乏高层重视、预算不足、多头监管、跨团队沟通待增强等问题。自2020年上一期调查报告发布以来,高破坏性且高复杂度的网络攻击数量开始大幅增长,首席信息安全官肩负着更大压力,企业也面临着更大的网络风险。
目前全球合规环境越来越复杂,某些行业(尤其是金融服务业)的企业还必须应对特定行业的监管。调查显示,虽然约三分之二的中国公司表示诸如勒索软件等破坏性网络攻击的数量在过去12个月中有所增加,但应对网络安全风险的预算仍然很少。GISS报告显示,企业每年在网络安全方面的平均支出仅528万美元,仅占收入的0.05%。
与此同时,在中国,仅16%的企业将网络安全纳入所有数字转型计划的规划阶段。受访者认为,虽然各业务线认识到了网络安全的传统优势(如控制风险),但仍未能将网络安全职能部门视为持续长期的战略合作伙伴。
安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰表示:
企业的信息安全部门应发挥更加积极的作用,在企业投资决策的最初阶段提供咨询建议,以更好地满足不断变化的业务需求。同时,企业应当意识到这不仅仅是IT部门或安全部门的工作,只有相互配合、各司其职,才能有效应对监管合规带来的挑战。
兰瑜认为,中国的电商等互联网行业走在世界前列,大量的数据和信息直面网络安全等风险。企业要建立符合《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》这三大法案的治理体系,自上而下地从战略、高级管理层责任制进行配套设计,并从人员、组织、技术和流程方面落地实施。
来源:周到上海 作者:曹西京
